Alhálókra (VLAN-okra) bontás

By | 2013. szeptember 25.

2013 nyarán és szeptemberének elején az eddigi egy nagy hálózatot (VLAN-t) több kisebbre bontottuk fel.

Miért is volt rá szükség?

Szerettük volna mobil regeketi bevezetnii, amelyhez sikeresen igényeltünk egy nagyobb IP címtartományt az egyetemtől. Viszont amennyiben ezt a másfélszeresére növekedett tartományt is egy darab VLANii-nak hagytuk volna meg, akkor már az amúgy is hatalmas broadcast forgalom teljesen kezelhetetlenné vált volna. Csak hogy érzékeltessük, mekkora is volt a broadcast: egy átlagos mai gépen megközelitőleg 1-2% CPU használat volt csak a broadcastból származó interrupt (egy hiba alkalmával akár ennek sokszorosa is), ami most lecsökkent közel 0%-ra.

Megvalósítás:

Hosszas megbeszélések és workshopok alatt több lehetőség közűl a “két szinten – egy VLAN, mindig mindenki egy fix VLAN-ban van” opciót választottuk, mert így nincsen sok nem kiosztható IP-cím (pl.: default gateway, broadcast cím, alhálózat címe), viszont nem is túl nagy ahhoz, hogy a broadcast forgalom elviselhetetlen legyen. Ezen kívül van egy /60-as IPv6 tartományunk is, amelyet – betartva az ajánlott, “/64-es maszk minden alhálózatnak” címzési módot – pont a szükséges mennyiségű részre tudtunk feldarabolni. A fix VLAN azt jelenti, hogy mindig mindenki a lakószintjének megfelelő VLAN-ban lesz, attól függetlenül, hogy melyik szinten tartózkodik. Ez viszont – mivel egy switch portjai egyidejűleg csak egy VLAN-ban lehetnek – azt a problémát hordozza magában, hogy egy faliportba dugott switchen vagy AP-n egyidejűleg csak egy VLAN-ba tartozó lakók lehetnek. Ezt a problémát azonban a nyár elején kiküldött kérdőívünk alapján nem itéltük nagynak. Egyedül a körök helyiségeiben okozhatna ez számottevő problémát, viszont ott igény esetén az általunk biztosított régebbi hálózati eszközökkel ezt meg tudjuk oldani.

Egyetemi okok miatt volt szükséges, hogy mindenki egy fix VLAN-ban legyen, ne pedig több VLAN-ban, például mindig az aktuális szintnek megfelőben. Ilyen ok többek között, hogy ha az egyetem kitiltana valakit és ez az illető átmenne egy másik VLAN-ba, ahol egy másik IP-címet kéne kapnia, majd megint kitiltanák, és ezt eljátszaná az összes VLAN-ban , esetleg mindezt még több ember is megtenné, akkor az egyetem a végén az egész tartományunkat tiltaná. Arról nem is beszélve, hogy ahhoz nincsen elegendő IP-címünk (de még ha lenne is hatalmas pazarlás volna), hogy mindenkinek fenntartsunk egy fix IP-címet minden tartományban, továbbá így dinamikusan változna mindenki IP-címe, amely megszüntetné a fix IP-cím adta előnyöket. Kellemetlen helyzet lenne az is, hogy ha az egyetem kitilt egy IP-címet, ám ezt attól még újra ki lehetne osztani egy olyan valakinek, aki nem is csinált semmi olyat, ami miatt ki kéne tiltani.

A VLAN-ok számát megtartva a kollégistákat valamilyen hash függvény alapján is VLAN-okba rendelhetük volna, viszont ezzel az lett volna a baj, hogy az egy szobában lakók akár 4 különböző VLAN-ba is kerülhettek volna, így lehetetlenné téve egy közös switch vagy AP használatát.

A már említett broadcastforgalom-csökkenés pozitív hatással volt minden hálózatra kötött eszközre, így mostantól az olcsóbb WiFi routerek és Access Pointok sem halnak le 1-2 perc használat után.

Egy másik, remélhetőleg rövid távú problémát azonban okozott a VLAN-olás az SCH WiFi hálózatában: sajnos a jelenlegi megoldással nem tudjuk az összes szükséges VLAN-t WiFi-n szétszórni. Ezt a problémát egy controllerel tudnánk orvosolni, amire a teljes lefedettséghez amúgy is szükség van. Ez várhatóan még idén megérkezik.

Jelenlegi IP cím – VLAN séma:

VLAN név

IPv4 subnet

IPv6 subnet

VLAN ID

Megjegyzés

KOLLEGISTA:23

152.66.176.0/24

2001:738:2001:2071::/64

176

2. és 3. emelet

KOLLEGISTA:45

152.66.177.0/24

2001:738:2001:2072::/64

177

4. és 5. emelet

KOLLEGISTA:67

152.66.178.0/24

2001:738:2001:2073::/64

178

6. és 7. emelet

KOLLEGISTA:89

152.66.179.0/24

2001:738:2001:2074::/64

179

8. és 9. emelet

KOLLEGISTA:1011

152.66.180.0/24

2001:738:2001:2075::/64

180

10. és 11. emelet

KOLLEGISTA:1314

152.66.181.0/24

2001:738:2001:2076::/64

181

13. és 14. emelet

KOLLEGISTA:1516

152.66.182.0/24

2001:738:2001:2077::/64

182

15. és 16. emelet

KOLLEGISTA:1718

152.66.183.0/24

2001:738:2001:2078::/64

183

17. és 18. emelet

ONLAB/TESZT

152.66.192.0/25

2001:738:2001:2079::/64

192

Önlab és teszt célra lehet innen igényelni

TEMP

152.66.192.128/25

2001:738:2001:207A::/64

193

Ideiglenes regiszrációk

SZERVER

152.66.208.0/24

2001:738:2001:207B::/64

208

Publikus szerverek

KSZK:BELSO

152.66.209.0/24

2001:738:2001:207C::/64

209

Kisebb szerverek, belsős regek

KOLLEGISTA:12

152.66.210.0/25

2001:738:2001:207D::/64

210

12. emelet

SALGO/KOROS

152.66.210.128/25

2001:738:2001:207E::/64

212

Salgós és körös gépek

VPN

152.66.211.0/24

2001:738:2001:207F::/64

211

VPN

SYSADMIN:ADMIN

10.0.0.0/16

10

adminlan, csak belölről elérhető adminisztrációs hálózat

REGELETLEN

10.66.0.0/16

2

alapértelmezett VLAN, ide kerül minden olyan gép, aminek nem sikerűlt a dot1x-es port authentikáció

UNMANAGED

10.172.0.0/16

172

management porttal nem rendelkező switchek VLANja

MANAGEMENT

172.20.0.0/16

fizikailag elkülönített menedzsment hálózat, dedikált management porttal rendelkező switchek részére

VPN:SALGO

10.211.0.0/16

2110

Salgós adminlan, ahova VPN segítségével lehet kívülről belépni

KITILTOTT

22

Minden típusú forgalom eldobásra kerül már a szinti switcheken

Az itt felsorolt VLAN-okon kívül vannak még a natív VLAN-ok, melyek linkenként egyediek, és összességében még kb. 20 darab VLAN-t jelentenek. Erre a VLAN hoppingiii elkerülése miatt van szükség.

——————————–

i)     Olyan olcsóbb internet elérési csomag, amit a mobiltelefonok és tabletek forgalmához igazítottunk

ii)    Virtual LAN, Hálózati eszközök olyan csoportja, aminek tagjai úgy kommunikálnak mintha ugyanabba a szórási tartományba tartoznának. https://en.wikipedia.org/wiki/VLAN

iii)  https://en.wikipedia.org/wiki/VLAN_hopping